• В целях оптимизации работы с большими базами данных убрана возможность устанавливать индивидуальные разрешения на пользователях и группах. Примечание: на папках по-прежнему можно задавать разрешения для разных типов объектов.
  
• В качестве субъектов настройки безопасности теперь могут выступать только группы. Пользователи же приобретают разрешения, от групп безопасности, в которые они входят.
  
• Удалены встроенные группы безопасности «Все пользователи», «Сам пользователь», «Анонимный вход», «Вход без сертификата».
  
• Для обеспечения работы Веб-портала добавлены два служебных пользователя: «Веб-портал (вход без сертификата)» и «Веб-портал (вход с сертификатом)», которые входят в одноименные группы. Допустимость тех или иных операций через Веб-портал (регистрация пользователя, выпуск сертификата и т.п.) теперь регулируется разрешениями служебных пользователей Веб-портала. Следствие 1: пользователь-администратор, при работе через Веб-портал, будет иметь возможность выполнить ровно те операции, которые разрешены служебному пользователю Веб-портала на папке, в которой находится пользователь-администратор. Права, которые есть у самого пользователя-администратора, при работе через Веб-портал учитываться не будут. Следствие 2: если для какой-то группы безопасности был установлен запрет на какое-либо действие (например, запрет запроса сертификата) и ранее пользователи этой группы не могли запрашивать сертификат для себя через Веб-портал, то теперь пользователи такой группы смогут выполнять ровно те действия, которые разрешены служебному пользователю Веб-портала на папке пользователя. Добавлена настройка папки, в которой Веб-портал по умолчанию регистрирует пользователей.
  
• В настройки безопасности добавлено разрешение «Передача запросов». Пользователь, имеющий это разрешение может передавать запросы, подписанные пользователем получателем услуги, а не своей подписью. Это разрешение будет полезно для ПО-посредника передачи запросов, так как теперь не надо при передаче запроса снимать подпись пользователя и подписывать своей подписью.
  
• В представлениях-списках введено ограничение максимального количества строк в списке. По умолчанию это ограничение равно 10 000 записей. Такое ограничение введено с целью избежать излишней нагрузки на сервер при работе с большими базами данных. Рекомендация: разбивайте пользователей по папкам, используйте инструменты фильтрации и поиска, чтобы количество записей в выборке (пользователей, сертификатов, запросов) было не более установленного ограничения максимального количества записей.
  
• В настройках уведомлений добавлена настройка «Отправлять уведомление пользователю-владельцу», которая заменяет использование группы «Сам пользователь». Кроме того, в качестве адресатов уведомлений теперь не допускается указывать конкретных пользователей. Разрешено указывать только группы.
  
• Добавлены уведомления о следующих событиях: переименование пользователя, выпуск, приостановление, возобновление и отзыв сертификата. Также, добавлена возможность при изменении временного логина и пароля для входа на Веб-портал отправить пользователю уведомлений с новыми параметрами временного доступа.
  
• При выборе электронного адреса пользователя для отправки уведомления, в случае если не задан адрес электронной почты в разделе дополнительно, теперь используется адрес электронной почты из атрибутов учетной записи пользователя, если он задан.
  
• Дистрибутив теперь распространяется в виде утилиты cc2-setup.exe. Эта утилита, помимо функции установки дистрибутива, имеет функциональность по проверке обновления баз данных ЦС и ЦС. Рекомендуется выполнять проверку обновления баз данных перед обновлением программного обеспечения.
  
• При первоначальной установке Сервера ЦР в корневой папке создаются подпапки «Пользователи» и «Операторы». Для группы безопасности «Операторы» настраиваются права на регистрацию пользователей и выпуск сертификатов в папке «Пользователи». Разрешения управлять папкой «Операторы» даются только группе «Администраторы». При обновлении существующей базы Сервера ЦР изменений в структуре папок не происходит.
  
• Добавлена поддержка ОС Windows Server 2016/Windows 10.
  
• Добавлена поддержка Windows SQL Server 2017.
  
• Вместо .Net Framework 4.5 теперь требуется .Net Framework 4.6.
  
• Изменилось поведение при выпуске CRL: если загружена только часть ключей ЦС, а не все, происходит выпуск CRL на тех ключах, которые загружены; ранее выпуск в такой ситуации не происходил, возвращалась ошибка.
  
• Унифицирован интерфейс работы с модулями политики, выхода, экспорта.
  
• При выпуске сертификата в Консоли ЦР добавлена настройка выполнения действий по умолчанию: установка в контейнер, сохранение в файл, открытие сертификата.
  
• В Консоли ЦР добавлен переход из формы сертификата к пользователю.
  
• В Консоли ЦР добавлен пункт "Открыть пользователя" в контекстном меню сертификатов и запросов.
  
• При создании запроса на сертификат через Веб-портал ЦР в имя субъекта заносится учетная запись пользователя полностью (ранее туда попадал только CN).
  
• При установке дистрибутива добавлено предупреждение о переходе на ГОСТ 2012.
  
• Для страницы печати Консоли ЦР сделано сохранение настроек печати между запусками, настройки общие для всех окон печати.
  
• В связанные с папками представления в Консоли ЦР добавлена колонка "Имя папки".
  
• В Консоли ЦР убрано экранирование кавычек в поле Субъект в формах просмотра сертификата и запроса на сертификат.
  
• В Консоли ЦР в окне экcпорта сертификата по умолчанию выбран экспорт в контейнер.
  
• В диалогах загрузки запросов добавлено расширение *.p10.
  
• Если в имени шаблона сертификата упомянуто в квадратных скобках имя ЦС, то данный ЦС будет использоваться по умолчанию при выборе данного шаблона в форме запроса на сертификат в Консоли ЦР и в Веб-портале ЦР.
  
• При одобрении запроса и при загрузке запроса из файла Консоль ЦР показывает оператору предупреждение если имя субъекта в запросе отличается от учётной записи пользователя.
  
• Макет документа по умолчанию для сертификата отформатирован так, чтобы квалифицированный сертификат помещался при печати на одну страницу.
  
• Интерфейс формы редактирования расписания выпуска CRL заменён на соответствующий интерфейсу редактирования расписания в планировщике Windows.
  
• При составлении отчёта сервер отчётов теперь использует данные, доступные для чтения пользователю, который запрашивает отчёт. Ранее отчеты были доступны только администраторам.
  
• Оптимизирован процесс синхронизации политики PKI с ЦС на ЦР для устранения задержек при большом объеме данных.
  
• На Сервере ЦР ссылку на ЦС теперь можно удалить при наличии необработанных запросов на сертификат.
  
• На Сервере ЦР добавлен командлет для восстановления группы Администраторы и ее прав.
  
• На Сервере ЦР добавлена настройка проверки соответствия данных в имени субъекта и атрибутах запроса и учётной записи пользователя на сервере ЦР. По умолчанию проверка отключена.
  
• При настройке расширений в шаблоне сертификата допускается не указывать значение по умолчанию, если значение расширения задаётся запросом.
  
• Расширения «Точки распространения CRL» (CDP) и «Информация о ЦС» (AIA) теперь прописываются в шаблоне явно. Если значение для них не задано, будет использовано значение из настроек экземпляра ЦС.
  
• После ввода лицензии на Сервере ЦС и на Сервере ЦР больше не требуется перезапуск служб.
  
• В Консоль ЦР добавлена функция генерации оффлайн-формы для создания запроса на сертификат.
  

• Добавлена поддержка кириллических доменов и кириллической доменной части адресов e-mail:
  - при создании запросов на регистрацию, переименование и запроса на сертификат;
  - при выпуске сертификата при добавлении расширения «Дополнительное имя субъекта», а также, при добавлении атрибута «Адрес E-Mail» (1.2.840.113549.1.9.1) в субъект сертификата;
  - при рассылке уведомлений (при условии, что SMTP-сервер имеет такую поддержку).
  
• Изменены настройки политик по умолчанию:
  - в шаблоне «Пользователь» в расширении «Использование ключа» установлен флаг «Неотрекаемость»;
  - во всех шаблонах разрешен экспорт ключа;
  - для поля «Список полных имён DNS» установлен флаг «Допустим в профиле»;
  - добавлены шаблоны «OCSP», «TSP», «Контроллер домена» и «Пользователь смарт-карт»;
  - из всех шаблонов исключено расширение «Политики применения».
  
• В расширение AIA сертификатов OCSP не перекладываются адреса служб OCSP из настроек экземпляров ЦС, но если значение расширения определяется запросом или шаблоном, то оно используется в неизменном виде.
  
• Теперь при вызове cryptcp, с передачей в качестве параметра пути к папке, нет обязательного требования наличия права «Чтение свойств» на все папки из указанного пути. Достаточно лишь права «Чтение свойств» на конечную папку, к которой указан путь.
  
• В упрощенный ИВП добавлен метод GetFolderIdByPath для получения идентификатор папки по пути к ней. Для получения идентификатора папки необходимо право «Чтение свойств» на целевой папке.
  
• В командлет Ping-CA добавлено понятное описание ошибки в случае если версии ПО ЦС и ЦР различны.
  
• В мастерах добавлена возможность вернуться с финальной страницы мастера назад для сохранения запроса или сертификата.
  
• В форме создания запроса на сертификат в Консоли ЦР и в Диспетчере УЦ добавлено ограничение длины имени контейнера.
  
• В Веб-портале исправлено условие определения доступности кнопки «Создать запрос на сертификат». Если нет права «Запрос сертификата» на пользователях, то кнопка создания запроса на сертификат сделана недоступной.
  
• В Веб-портале исправлено условие определения доступности кнопок создать запрос на отзыв, приостановление, возобновление. Теперь при входе по паролю, эти кнопки недоступны, так как неподписанные запросы на отзыв, приостановление, возобновление запрещены.
  
• В инсталляторе исправлена ошибка определения состояния установки дополнительного ПО, необходимого для установки КриптоПро УЦ.
  
• Исправлена ошибка обновления информации о ЦС в Консоли ЦР при смене подключения.
  

Отредактировано пользователем 30 марта 2018 г. 13:22:01(UTC)  | Причина: Исправлена ссылка

• В Консоли ЦР добавлена функциональность "Пакетный выпуск сертификатов".
  
• Исправлена валидация адреса электронной почты на Веб-портале. Теперь она допускает кириллические символы в host-части адреса.
  
• Продление срока действия ключа УЦ при использовании HSM 2.0.
  
• Добавлена возможность отключения проверки срока действия ключа ЦС при его загрузке.
  
• Быстрая остановка Службы регистрации (убрано ожидание 10 сек сообщений из очередей). При старте Службы регистрации нитки теперь начинают работать сразу, а не через минуту.
  
• В командлете Add-RAKey исправлен диагностический вывод информации о дубликатах при создании уникального ключа для пользователей.
  
• В командлете New-PkiRequest убрана возможность передавать профиль пользователя, так как он дублирует передаваемый субъект запроса.
  
• При установке обновления БД ЦР исправлен диагностический вывод списка групп, на которых настроены индивидуальные права.
  
• Добавлена сортировка по алфавиту шаблонов сертификатов в дереве в Диспетчере УЦ.
  
• Исправлена сортировка провайдеров в мастерах Диспетчера УЦ.
  

• В Консоли ЦР в контекстное меню запросов на сертификат добавлен пункт «Найти запросы с таким же открытым ключом».
  
• В Консоли ЦР в форму просмотра запроса на сертификат добавлена кнопка просмотра шаблона.
  
• В Диспетчере УЦ добавлена возможность удаления шаблонов на сертификат (кроме встроенных шаблонов).
  
• Теперь при рассылке уведомлений письма отправляются индивидуально каждому получателю с указанием получателя в поле Кому (ранее получатели указывались в поле Скрытая копия и одно письмо могло быть отправлено сразу нескольким получателям). Для изменения поведения по умолчанию можно добавить в реестр параметры: 1) HideRecipientEmailAddress типа DWORD со значением 1 – указывает, что получатели уведомлений будут перечисляться в поле Скрытая копия (а не в поле Кому); 2) MaxNumberEmailRecipients типа DWORD – задает максимальное количество получателей одного письма-уведомления. Используемый ранее флаг DisableHidingEmails теперь не используется.
  
• В Консоли ЦР добавлена возможность пакетного экспорта сертификатов и запросов на сертификат, регистрацию и отзыв в виде отдельных файлов в папку.
  
• В Консоли ЦР добавлен экспорт запросов на отзыв.
  
• На веб-портале ЦР при попытке входа по сертификату отображается сообщение об ошибке если сертификат для входа не был предоставлен.
  
• Печать запросов и сертификатов на Веб-портале ЦР сделана в виде перехода к PDF документу без промежуточного диалога.
  
• Улучшена диагностика причин, по которым ЦС не выпустил сертификат.
  
• Исправлена ошибка при одобрении нескольких запросов на сертификат.
  
• Исправлена проблема с кодированием учетной записи, содержащей user-часть email в punycode.
  

• По умолчанию запрещён после 31.12.2018 выпуск сертификатов на ключах УЦ ГОСТ Р.34 10-2001.
  
• Отключенные пользователи больше не учитываются при проверке лицензионных ограничений на количество пользователей. Отключить пользователя можно только если у него нет действующих сертификатов и необработанных запросов на сертификат.
  
• По умолчанию никому не выдаются права на приостановление и возобновление сертификата при развороте нового ЦР.
  
• В ИВП добавлены методы для получения печатного представления сертификата и запросов.
  
• Добавлены параметры ЦС, регулирующие внесение имени издателя и серийного номера в расширение "Идентификатор ключа издателя" как для сертификатов, так и для CRL.
  
• На ЦР для запросов на регистрацию и для пользователей добавлена колонка с учетной записью пользователя в формате XML, извлеченная из запроса на регистрацию.
  
• В настройках расширения "Срок действия закрытого ключа" шаблона сертификата добавлена возможность указать фиксированную дату окончания срока действия ключа.
  
• На ЦР для запросов на сертификат добавлены колонки с указанием результата обработки запроса на ЦС и с именем шаблона сертификата.
  
• На ЦР для сертификатов и запросов на сертификат добавлена колонка с алгоритмом открытого ключа.
  
• При скачивании сертификатов ЦС через Веб-портал ЦР, в скачиваемый файл включаются сертификаты всех ЦС, на которые ссылается ЦР.
  
• На ЦР добавлена возможность пометить ссылку на ЦС как устаревшую, после чего ЦР перестаёт взаимодействовать с таким ЦС.
  
• При выпуске сертификата через Консоль ЦР добавлена возможность автоматического сохранения распечатанного сертификата в PDF.
  
• Имя файла сертификата по умолчанию при экспорте из Консоли ЦР формируется из компонентов имени субъекта CN и SN.
  
• При вводе лицензии в Консоли ЦР запрашивается повышение привилегий если Консоль ЦР запущена не от имени администратора.
  
• Мастер смены ключа в Диспетчере УЦ разделён на два - мастер смены ключа и мастер установки сертификата ЦС после получения от вышестоящего УЦ.
  
• В форму создания запроса добавлено отображение имени пользователя, для которого создаётся запрос.
  
• В случае сбоя при обновлении БД, БД возвращается в прежний режим доступа, а не остается в SINGLE_USER.
  
• В Диспетчере УЦ исправлена ошибка отображения администраторов ЦР с одинаковым компонентом «Общее имя» (CN).
  
• Добавлена поддержка модулей проверки запросов на ЦР. Добавлен модуль контроля количества выпущенных сертификатов.
  
• Исправлена ошибка, возникающая при одновременном выпуске CRL на серверах ЦР находящихся в кластере.
  
• В командлетах Powershell, которые принимают тип провайдера в качестве аргумента, типом провайдера по умолчанию теперь является ГОСТ Р.43-10-2012.
  
• В HTTP API добавлен метод для получения профиля пользователя.
  
• По умолчанию отключены ограничения на длину компонент имени субъекта сертификата (кроме ОГРН, ИНН, СНИЛС).